Как работает безопасная загрузка в Windows 8 и 10 и что она означает для Linux

Современные ПК поставляются с включенной функцией «Безопасная загрузка». Это функция платформы в UEFI, которая заменяет традиционный BIOS ПК. Если производитель ПК хочет прикрепить наклейку с логотипом «Windows 10» или «Windows 8» на свой компьютер, Microsoft требует, чтобы он включил безопасную загрузку и следовал некоторым рекомендациям.

К сожалению, это также мешает вам установить некоторые дистрибутивы Linux, что может быть довольно хлопотным.

Как безопасная загрузка защищает процесс загрузки вашего ПК

Безопасная загрузка предназначена не только для усложнения работы с Linux. Включение безопасной загрузки дает реальные преимущества в плане безопасности, и даже пользователи Linux могут извлечь из них выгоду.

Традиционный BIOS загружает любое программное обеспечение. Когда вы загружаете свой компьютер, он проверяет аппаратные устройства в соответствии с настроенным вами порядком загрузки и пытается загрузиться с них. Обычные ПК обычно находят и загружают загрузчик Windows, который загружает полную операционную систему Windows. Если вы используете Linux, BIOS найдет и загрузит загрузчик GRUB, который используется в большинстве дистрибутивов Linux.

Однако вредоносное ПО, такое как руткит, может заменить ваш загрузчик. Руткит мог загрузить вашу обычную операционную систему без каких-либо признаков неисправности, оставаясь полностью невидимым и необнаружимым в вашей системе. BIOS не знает разницы между вредоносным ПО и надежным загрузчиком - он просто загружает все, что находит.

Безопасная загрузка предназначена для предотвращения этого. ПК с Windows 8 и 10 поставляются с сертификатом Microsoft, хранящимся в UEFI. UEFI проверит загрузчик перед его запуском и убедится, что он подписан Microsoft. Если руткит или другое вредоносное ПО действительно заменяет ваш загрузчик или вмешивается в него, UEFI не позволит ему загрузиться. Это не позволяет вредоносным программам захватить процесс загрузки и скрыться от вашей операционной системы.

Как Microsoft разрешает дистрибутивам Linux загружаться с безопасной загрузкой

Теоретически эта функция предназначена только для защиты от вредоносных программ. Так что Microsoft предлагает способ помочь дистрибутивам Linux загрузиться в любом случае. Вот почему некоторые современные дистрибутивы Linux, такие как Ubuntu и Fedora, «просто работают» на современных ПК даже с включенной безопасной загрузкой. Дистрибутивы Linux могут внести единовременную плату в размере 99 долларов за доступ к порталу Microsoft Sysdev, где они могут подать заявку на подпись своих загрузчиков.

Дистрибутивы Linux обычно имеют подпись «прокладка». Прокладка - это небольшой загрузчик, который просто загружает основной загрузчик GRUB дистрибутива Linux. Подписанная Microsoft прокладка проверяет, загружается ли загрузчик, подписанный дистрибутивом Linux, а затем дистрибутив Linux загружается нормально.

Ubuntu, Fedora, Red Hat Enterprise Linux и openSUSE в настоящее время поддерживают безопасную загрузку и будут работать без каких-либо настроек на современном оборудовании. Могут быть и другие, но это те, о которых мы знаем. Некоторые дистрибутивы Linux с философской точки зрения возражают против подачи заявки на подписку Microsoft.

Как вы можете отключить или контролировать безопасную загрузку

Если бы это была все, что выполняла безопасная загрузка, вы не смогли бы запускать на своем ПК операционные системы, не одобренные Microsoft. Но вы, вероятно, можете управлять безопасной загрузкой из прошивки UEFI вашего ПК, которая похожа на BIOS на старых ПК.

Есть два способа контролировать безопасную загрузку. Самый простой способ - перейти к прошивке UEFI и полностью отключить ее. Прошивка UEFI не проверяет, что вы используете подписанный загрузчик, и все загрузится. Вы можете загрузить любой дистрибутив Linux или даже установить Windows 7, которая не поддерживает безопасную загрузку. Windows 8 и 10 будут работать нормально, вы просто потеряете преимущества безопасности, связанные с безопасностью загрузки, защищающей процесс загрузки.

Вы также можете дополнительно настроить безопасную загрузку. Вы можете контролировать, какие сертификаты для подписи предлагает безопасная загрузка. Вы можете установить новые сертификаты и удалить существующие. Например, организация, использующая Linux на своих ПК, может удалить сертификаты Microsoft и установить вместо них собственный сертификат организации. Тогда эти ПК будут использовать только загрузочные загрузчики, одобренные и подписанные этой конкретной организацией.

Человек тоже может сделать это - вы можете подписать свой собственный загрузчик Linux и убедиться, что ваш компьютер может загружать только загрузчики, которые вы скомпилировали и подписали лично. Именно такой контроль и мощность предлагает безопасная загрузка.

Что Microsoft требует от производителей ПК

Microsoft не просто требует, чтобы поставщики ПК включили безопасную загрузку, если им нужна красивая наклейка с сертификатом «Windows 10» или «Windows 8» на своих ПК. Microsoft требует, чтобы производители ПК реализовывали его особым образом.

Для ПК с Windows 8 производители должны были дать вам возможность отключить безопасную загрузку. Microsoft потребовала от производителей ПК передать пользователям аварийный выключатель Secure Boot.

Для ПК с Windows 10 это больше не является обязательным. Производители ПК могут включить безопасную загрузку и не предоставлять пользователям возможность ее выключить. Однако на самом деле нам неизвестно о каких-либо производителях ПК, которые так поступают.

Точно так же производители ПК должны включать основной ключ Microsoft «Microsoft Windows Production PCA», чтобы Windows могла загружаться, им не нужно включать ключ «Microsoft Corporation UEFI CA». Этот второй ключ только рекомендуется. Это второй необязательный ключ, который Microsoft использует для подписи загрузчиков Linux. Документация Ubuntu объясняет это.

Другими словами, не все ПК обязательно загружают подписанные дистрибутивы Linux с включенной безопасной загрузкой. Опять же, на практике мы не видели ни одного ПК, который бы это делал. Возможно, ни один производитель ПК не захочет выпускать единственную линейку ноутбуков, на которую нельзя установить Linux.

На данный момент, по крайней мере, обычные ПК с Windows должны позволять вам отключать безопасную загрузку, если хотите, и они должны загружать дистрибутивы Linux, подписанные Microsoft, даже если вы не отключите безопасную загрузку.

Безопасную загрузку нельзя отключить в Windows RT, но Windows RT мертва

СВЯЗАННЫЕ С: Что такое Windows RT и чем она отличается от Windows 8?

Все вышесказанное верно для стандартных операционных систем Windows 8 и 10 на стандартном оборудовании Intel x86. Для ARM все иначе.

В Windows RT - версии Windows 8 для оборудования ARM, которая поставлялась на Microsoft Surface RT и Surface 2, среди других устройств - безопасную загрузку нельзя было отключить. Сегодня безопасную загрузку по-прежнему нельзя отключить на оборудовании Windows 10 Mobile, другими словами, на телефонах под управлением Windows 10.

Это потому, что Microsoft хотела, чтобы вы думали о системах Windows RT на базе ARM как об «устройствах», а не о ПК. Как Microsoft сообщила Mozilla, Windows RT «больше не Windows».

Однако Windows RT теперь мертва. Версии настольной операционной системы Windows 10 для оборудования ARM нет, так что вам больше не о чем беспокоиться. Но если Microsoft вернет оборудование Windows RT 10, вы, вероятно, не сможете отключить на нем безопасную загрузку.

Изображение предоставлено: База посла, Джон Бристоу